안전 기관: 의심되는 북한 해커 조직이 협동 공격하여 암호화폐 기업의 키와 클라우드 자산을 탈취함

안전 연구 기관 Ctrl-Alt-Intel이 발표한 바에 따르면, 북한과 관련된 것으로 의심되는 해커 그룹이 스테이킹 플랫폼, 거래소 소프트웨어 공급업체 및 암호화폐 거래소를 대상으로 공격을 감행했습니다.

공격자는 React2Shell 취약점(CVE-2025-55182)과 이미 확보한 AWS 접근 자격 증명을 이용해 클라우드 환경에 침입하고, S3, EC2, RDS, EKS, ECR 등의 리소스를 열거하며, Secrets Manager, Terraform 파일, Kubernetes 구성 및 Docker 컨테이너에서 키와 자격 증명을 추출했습니다. 연구자들은 공격자가 5개의 Docker 이미지를 다운로드하고 소스 코드를 훔쳤으며, 그 중에는 ChainUp 고객 관련 소프트웨어 구성 요소가 포함되어 있다고 전했습니다.

공격 인프라에는 한국 서버 64.176.226[.]36 및 도메인 itemnania[.]com이 포함되어 있습니다. 보고서에 따르면 이 활동은 북한 관련 공격 특성과 일치하지만, 귀속 신뢰도는 중간이며 AWS 자격 증명의 출처는 명확하지 않습니다.